反对 赞成 问题:我有一个在 tomcat 下运行的应用程序,它通过安装了自签名 SSL 证书的网关调用同一 tomcat 下的另一个应用程序。当您从浏览器调用链接时,它会警告您有关潜在危险的站点,但您可以选择继续。但是,tomcat 无论如何都无法继续,直到它信任证书。该证书由 KEMP 技术颁发。那么我该如何让 tomcat 信任该证书?我有 .cer 和 .key 文件。
操作系统:Windows 2008R2
Tomcat 7
谢谢。
答案1
重要警告。.key 文件仅属于服务器端。如果证书显示在某个“网关”地址上,则意味着 *.key 文件属于仅有的在“网关”上。不要玩弄它。不要随意复制它。如果有人能够读取它,您的证书就会受到损害 - 它不再提供受信任的身份验证。
我理解您想确保 *.cer 文件在客户端是可信的。但您的客户端实际上是最终提供内容的同一个 Java 进程,这一点无关紧要。只需像任何尝试连接到不受信任的自签名证书的 Java 应用程序一样继续操作即可:
- 找到您用来运行 tomcat 的 JAVA_HOME 目录(可以在 catalina.bat 或 setenv.bat 中偶尔定制)。
信任你的 x.cer 文件:
%JAVA_HOME%\bin\keytool -importcert -keystore %JAVA_HOME%\jre\lib\security\cacerts -file x.cer -alias my-self-signed-cert1默认的密钥库密码是
changeme或changeit,我总是搞混,唉。- 它应该立即工作,无需重新启动 tomcat。
- 文档你做了什么,因为任何 Java 更新都可能会覆盖
cacerts。 - 如果不起作用,则可能意味着您的 Java 应用程序忽略了默认的 cacerts 密钥库,并且正在使用一些自定义文件。这将使您只能依靠应用程序有关信任库的文档。